NIS2指令は、多くの企業にサイバーセキュリティとデジタルレジリエンスを義務付けています。しかし、特に中小企業はその実施に苦労しています。
NIS2がやってくる:EU指令は2023年から施行されており、ITセキュリティとデジタルレジリエンスの欧州共通基準を確立することを目的としています。ドイツでの導入は依然として未定であり、指令がどのように国内法に落とし込まれるかはまだ明確ではありません。特に注目すべきは、今回初めて経営層にも責任が問われることです。
DORAやNIS2などの新しいEU規制は企業に対応を迫る一方で、ITセキュリティを戦略的に再考するチャンスも提供します。
AIBooth – shutterstock.com
つまり、ドイツ企業にとって何が求められるのかは依然として不明瞭です。ただし、今の時点で一つだけ明らかなことがあります。サイバーセキュリティとデジタルレジリエンスにおいて、中小企業はNIS2を成功裏に導入するために、まだ大きな遅れを取り戻す必要があります。これを受けて、「サイバーセキュリティとデジタルレジリエンス」をテーマにしたCOMPUTERWOCHEラウンドテーブルの専門家たちが、ドイツにおけるITセキュリティの現状や、意思決定者が今後何に備えるべきかを議論しました。
中小企業には計画が必要
より高いセキュリティを確保し、そのための拘束力ある規則を設ける――NIS2指令の趣旨は極めて妥当であると専門家たちは一致しています。ただし、実現可能性については批判もあります。「ブリュッセルは、欧州指令の国内実装がしばしば困難を伴うことを認識すべきだった」とFortinetのビジネスデベロップメントマネージャー、Heiko Adamczyk氏は指摘します。「経験値はすでにある。DORAのように直接適用可能な法令の方が効果的だっただろう。」専門家によれば、これにより実装が迅速化するだけでなく、各国独自の対応も不要になり、より統一性とコンプライアンスが自動的に確保されたはずです。
ただし、国内法化がまだ進んでいないことには利点もあります。ドイツの企業にとって、少しだけ猶予が生まれており、それが非常に必要とされています。T-Systemsのシニアバイスプレジデント/サイバーセキュリティ部門リーダーのThomas Masicek氏は、特に中小企業においてNIS2導入に強い支援ニーズがあると指摘します。「多くの企業が不安を感じており、NIS2にどう取り組めばよいのか全く分かっていません。」
TÜV SÜDのサイバーセキュリティオフィス アドボカシーマネージャー、Richard Skalt氏も、TÜV協会のサイバーセキュリティ調査の知見からこの不安を裏付けます。「回答者の約50%しか、NIS2指令が何であり、何を含むのか知りませんでした。」特に中小企業では懐疑的な見方が目立ちます。「22%が導入にメリットを感じていないと回答しました。多くは単なる官僚主義と見なしています。」
| 「サイバーセキュリティ&デジタルレジリエンス」調査:まだご参加いただけます! |
| COMPUTERWOCHEは現在、IT責任者を対象に「サイバーセキュリティ&デジタルレジリエンス」に関するマルチクライアント調査を実施中です。本調査についてご質問がある方、またはパートナーとしてご参加希望の方は、research-sales@foundryco.comまでお気軽にご連絡ください。調査の詳細はこちら(PDF)からもご覧いただけます。 |
義務と過重負担のはざまで
デジタルレジリエンスの必要性――たとえ自己目的であっても――は、多くの人にとってまだ十分に理解されていないようです。懐疑的な人々にも導入を促すため、NIS2は経営層に直接影響する厳しい罰則を設けています。Check Pointのリージョナルディレクターセールスエンジニアリング、Thomas Boele氏は、必要な行動圧力を生み出すために罰則が必要であることを残念に思っています。「本来、セキュリティはビジネスプロセスを安全かつ確実に進めるための基盤として、イネーブラーとして捉えるべきです。セキュリティはシートベルトのように当たり前の存在でなければなりません。」この意識が人々のDNAに根付く必要がありますが、残念ながら多くの場合、それは痛みを伴って初めて実現されると専門家は述べています。
この「痛み」がNIS2指令という形でやってきます。なぜなら、レジリエンスが企業の義務となるからです。最終的には企業にとって有益であると、ラウンドテーブルの専門家たちは一致しています。「インシデントで数週間も業務が停止すれば、何も得るものはありません。むしろ、莫大な評判損失、高額なコスト、インシデント対応の大きな負担が発生します」とThomas Masicek氏は述べます。また、Palo Altoのドメインコンサルティングマネージャー、Marc Meckel氏も「サイバーセキュリティはすべての企業が積極的に取り組むべき課題です。規制対応だけでなく、長期的に市場競争力を維持するためにも不可欠です」と指摘します。
セキュリティギャップは日常茶飯事
しかし、NIS2導入において中小企業を妨げているのは、意義に対する懐疑心だけではありません。Palo AltoのMarc Meckel氏によれば、基本的なセキュリティ対策すら不足している場合が多いのです。彼は「多くの組織で技術的な乱立が見られ、個々のシステムが連携していません」と指摘します。Thomas Masicek氏も企業の基礎的なセキュリティの欠如を指摘します。「システムのパッチが当たっていなかったり、役割や権限管理が存在しないため、攻撃者が社内ネットワークに容易に侵入できます。」彼は「NIS指令によって、すべての企業がサイバーセキュリティの明確な責任者を設けることを期待しています」と述べます。まさにここに多くの中小企業の根本的な問題があるようです。どこから、何からNIS2の導入を始めればよいのか、誰が責任者なのか分かっていません。大企業が活用できるISO認証や標準、リスク・インシデント管理の仕組みがないとThomas Masicek氏は指摘します。「多くの企業は実際にゼロから始めなければなりません。」
リスクを認識し、不安を克服する
では、ゼロから始める場合、どこから手を付ければよいのでしょうか?Thomas Boele氏は「まず自社にどんなリスクがあるのかを明らかにすることから始めるべきだ」と考えています。「しかし、特に中小企業ではそれを把握するのが難しいことが多く、リソースやノウハウが不足しています」と指摘します。
そのため、特にシンプル化が必要だとTrend Microの欧州サイバーセキュリティプラットフォームリード、Richard Werner氏は述べ、最新技術の活用を提案します。「AIは情報の翻訳やリスクの説明に役立ちます。通常はクラウドベースで機能します。」しかし、ここでも不安が障害となることが多いと指摘します。「中小企業では特に、こうした不安に対処しながら進める必要があります。法的な不確実性からくる半端な知識や恐れが蔓延しています。」Thomas Boele氏も、クラウドへの恐れを克服する必要があると明言します。「そうしなければ、最新技術を本当に活用できません。」
人的要因:責任追及よりも「衛生」
Marc Meckel氏にとって、規制要件を満たすよう最初から設計されたソリューション――攻撃を防ぎ、法的責任も軽減できるもの――が特に重要です。彼はフィッシングが主な攻撃手段の一つであると指摘します。「つまり人的要因が大きな役割を果たし、企業内の不安の原因となり続けています。」
Richard Werner氏も同意し、「問題はメールをクリックした一人の従業員ではなく、背景にある『衛生』です」と述べます。重要なのは、リスクを認識し、その重要性を正しく評価するための基盤を作ることです。「インシデント対応の約50%で未知のデバイスが見つかります。」こうしたリスクは攻撃が起こる前に特定すべきです。「そうすれば、攻撃自体をそれほど恐れる必要はなくなります」と専門家は続けます。
本番前にレジリエンスをテストする
それでも攻撃が発生した場合はどうすればよいのでしょうか?Thomas Masicek氏によれば、何よりも信頼できるディザスタリカバリープランが必要です。「本番になってから初めて動き出すのでは遅すぎます」と警告します。
専門家によれば、備えの方法は多様です。「金融業界のような大規模かつ定期的な演習は中小企業には難しいでしょう。専門知識も時間も資金も不足しています」とThomas Boele氏は指摘します。しかし、意図的に障害を発生させてシステムの反応を見ることは可能です。「これは他分野でも広めるべき良いアプローチです。クラウドならより細かくテストでき、効果的です。」
Richard Skalt氏によれば、「レジリエンスを維持するための手法は、フィッシングテストからペネトレーションテストまで幅広い」とのことです。「外部のペネトレーションテスター(いわゆるホワイトハッカー)を活用し、システムをスキャンするだけでなく、意図的に脆弱性を突くこともできます(当然ハッカー条項(§202c StGB)の範囲内で)。」Richard Werner氏もペネトレーションテストは有効だと考えています。「脆弱性の発見だけでなく、従業員を本番に備えさせることも重要です。」
整理し、適応し、準備する――NIS2の導入は、レジリエントで将来性のあるIT環境への投資のチャンスと捉えるべきです。義務化されたサイバーセキュリティとレジリエンスは、単なる官僚的負担ではなく、構造的な発展のきっかけとなります。
ラウンドテーブル「サイバーセキュリティ&デジタルレジリエンス」参加者
Thomas Boele, Check Point:
「効果的な予防戦略の出発点となる中心的な問いは、『自分にとって何が重要で、何を具体的に達成したいのか』です。多くの場合、単なる技術的解決策だけでは不十分であることが明らかになります。戦略が必要なのです――たとえば、ゼロトラストのようなコンセプト、十分なリスク予測、レジリエンスの構築など。玉ねぎの皮をむくように、一層一層、最適な解決策に近づいていきます。そして最後に重要なのは技術と、何よりユーザーの意識向上です。なぜなら、彼らこそがあらゆるセキュリティ対策の効果を左右する決定的な要素だからです。」
Check Point Software Technologies Ltd.
Heiko Adamczyk, Fortinet:
「私たちは現在、方向性を模索しています。特にOT分野では経験値が不足しています。企業はプロセスや技術を構築するための時間が必要です。それは当事者だけでなく、マーケットが何を求めているかを考えなければならない提供側にも当てはまります。」
Carsten Simon photography / Fortinet GmbH
Marc Meckel, Palo Alto:
「多くの企業、特に中小企業は現在のセキュリティ要件に十分対応できていません。人材不足がこの問題をさらに深刻にしています。専門家が足りなければ、多くの脅威が見逃され、分析されません。複雑さが増す中、指針となる枠組みを作ることが重要です。NIS2やDORAはまさにそれを提供します。」
Palo Alto Networks (Germany) GmbH
Richard Werner, Trend Micro:
「中小企業におけるNIS2の課題は何よりも、セキュリティをより分かりやすくする必要があるという点です。予防と対応は明確かつ簡単で、迅速に理解できるものでなければなりません。よく知られた24時間・72時間以内の報告義務は手作業ではほぼ不可能ですが、自動化すれば十分対応できます。技術はすでに存在します。今こそ、セキュリティを効果的かつ理解しやすいものにするために、それらを活用すべきです。AIはリスクの説明やプロセスの自動化に役立ちます。」
Trend Micro
Thomas Masicek, T-Systems:
「特に中小企業は十分な備えができていないことが多いです。多くの企業はサイバーセキュリティを依然として負担や単なるコンプライアンス義務と見なしており、そこに本当の競争優位性があることに気付いていません。過去には責任者自身が進展を妨げていたことも少なくありません。しかし最終的に、IT・サイバーセキュリティとはイネーブラーであり、何かを可能にしつつ同時に安全を保証するものなのです。」
T-Systems International GmbH
Richard Skalt, TÜV SÜD:
「フィッシングは現在、最大のサイバーリスクの一つです。サプライチェーンもますます注目されています――これはNIS2やDORAでも取り上げられているテーマです。発注者側はリスク分析を行い、それに基づいてサービス提供者に適切な証明を求める必要があります。認証はそのための重要な要素となり得ます。なぜなら、効果的なISMSや潜在的脅威への意識を客観的に証明できるからです。」
Conny Kurz / TÜV SÜD AG
ニュースレターを購読する
編集部から直接あなたの受信箱へ
下にメールアドレスを入力して始めてください。
翻訳元: https://www.csoonline.com/article/4038027/nis2-und-der-mittelstand-zwischen-pflicht-und-praxis.html